Resume topik 3

Pengamanan dan Pengendalian Sistem Informasi Laboratorium

A. KEBUTUHAN PENGAMANAN SISTEM INFORMASI LABORATORIUM

Sistem keamanan informasi (information security) memiliki empat tujuan yang sangat mendasar
adalah:

1. Kerahasiaan (Confidentiality). Informasi pada sistem komputer terjamin kerahasiaannya, hanya

dapat diakses oleh pihak-pihak yang diotorisasi, keutuhan serta konsistensi data pada sistem tersebut
tetap terjaga. Sehingga upaya orang-orang yang ingin mencuri informasi tersebut akan sia-sia.

2. Ketersediaan (Availability). Untuk memastikan bahwa orang-orang yang memang berhak untuk
mengakses informasi yang memang menjadi haknya.

3. Integritas (Integrity) Menjamin konsistensi dan menjamin data tersebut sesuai dengan aslinya,
sehingga upaya orang lain yang berusaha merubah data akan segera dapat diketahui.

4. Penggunaan yang sah (Legitimate Use). Menjamin kepastian bahwa sumberdaya tidak dapat dig
unakan oleh orang yang tidak berkepentingan.

Pengamanan data dapat dibagi menjadi dua jenis yaitu : pencegahan dan pengobatan. Pencegahan
dilakukan supaya data tidak rusak, hilang dan dicuri, sementara pengobatan dilakukan apabila data
sudah terkena virus, sistem terkena worm, dan lubang keamanan sudah diexploitasi.

Ancaman terhadap sistem informasi dibagi menjadi 2 macam, yaitu ancaman aktif dan ancaman
pasif.

a. Ancaman aktif mencakup:

1. Pencurian data. Jika informasi penting yang terdapat dalam database dapat diakses oleh orang yang
tidak berwenang maka hasilnya dapat kehilangan informasi atau uang. Misalnya, mata-mata industri
dapat memperoleh informasi persaingan yang berharga, penjahat komputer dapat mencuri uang bank.

2. Penggunaan sistem secara ilegal. Orang yang tidak berhak mengakses informasi pada suatu sistem
yang bukan menjadi hak-nya, dapat mengakses sistem tersebut. Penjahat komputer jenis ini umumnya
adalah hacker yaitu orang yang suka menembus sistem keamanan dengan tujuan mendapatkan data
atau informasi penting yang diperlukan, memperoleh akses ke sistem telepon, dan membuat
sambungan telepon jarak jauh secara tidak sah.

3. Penghancuran data secara ilegal. Orang yang dapat merusak atau menghancurkan data atau
informasi dan membuat berhentinya suatu sistem operasi komputer. Penjahat komputer ini tidak perlu
berada ditempat kejadian. Ia dapat masuk melalui jaringan komputer dari suatu terminal dan
menyebabkan kerusakan pada semua sistem dan hilangnya data atau informasi penting. Penjahat
komputer jenis ini umumnya disebut sebagai cracker yaitu penjebol sistem komputer yang bertujuan
melakukan pencurian data atau merusak sistem.

4. Modifikasi secara ilegal. Perubahan-perubahan pada data atau informasi dan perangkat lunak secara
tidak disadari. Jenis modifikasi yang membuat pemilik sistem menjadi bingung karena adanya
perubahan pada data dan perangkat lunak disebabkan oleh progam aplikasi yang merusak (malicious
software). Program aplikasi yang dapat merusak tersebut terdiri dari program lengkap atau segemen
kode yang melaksanakan fungsi yang tidak dikehendaki oleh pemilik sistem. Fungsi ini dapat
menghapus file atau menyebabkan sistem terhenti. Jenis aplikasi yang dapat merusak data atau
perangkat lunak yang paling populer adalah virus.

b. Ancaman pasif mencakup:

1. Kegagalan sistem. Kegagalan sistem atau kegagalan software dan hardware dapat menyebabkan
data tidak konsisten, transaksi tidak berjalan dengan lancar sehingga data menjadi tidak lengkap atau
bahkan data menjadi rusak. Selain itu, tegangan listrik yang tidak stabil dapat membuat peralatan-
peralatan menjadi rusak dan terbakar.

2. Kesalahan manusia Kesalahan pengoperasian sistem yang dilakukan oleh manusia dapat
mengancam integritas sistem dan data.

3. Bencana alam. Bencana alam seperti gempa bumi, banjir, kebakaran,hujan badai merupakan faktor
yang tidak terduga yang dapat mengancam sistem informasi sehingga mengakibatkan sumber daya
pendukung sistem informasi menjadi luluh lantah dalam waktu yang singkat.

Pada dasarnya suatu sistem yang aman akan mencoba melindungi data didalamnya, beberapa
kemungkinan serangan yang dapat dilakukan antara lain :

1. Intrusion. Pada metode ini seorang penyerang dapat menggunakan sistem komputer yang dimiliki
orang lain.

2. Denial of services. Penyerangan jenis ini mengakibatkan pengguna yang sah tak dapat mengakses
sistem karena terjadi kemacetan pada sistem.

3. Joyrider. Pada serangan ini disebabkan oleh orang yang merasa iseng dan ingin memperoleh
kesenangan dengan cara menyerang suatu sistem.

4. Vandal. Jenis serangan ini bertujuan untuk merusak sistem, namun hanya ditujukan untuk situs-
situs besar.

5. Hijacking. Seseorang menempatkan sistem monitoring atau spying terhadap pengetikan yang
dilakukan pengguna pada PC yang digunakan oleh pengguna.

Terdapat beberapa jenis macam mata-mata, yaitu :

a. The curious (Si ingin tahu) Tipe penyusup yang pada dasarnya tertarik menemukan jenis sistem dan
data yang dimiliki orang lain.

b. The malicious (Si perusak) Tipe penyusup yang berusaha untuk merusak sistem, atau merubah
halaman web site.

c. The high profile intruder(Si profil tinggi) Penyusup yang berusaha menggunakan sistem untuk
memperoleh popularitas dan ketenaran.

d. The competition (Si Pesaing) Penyusup yang tertarik pada data yang terdapat dalam sebuah sistem.

6. Sniffing. Sesorang yang melakukan monitoring atau penangkapanterhadap paket data yang
ditransmisikan dari komputer client ke web server pada jaringan internet (saluran komunikasi).
7. Spoofing. Seseorang berusaha membuat pengguna mengunjungi sebuah halaman situs yang salah
sehingga membuatpengunjung situs memberikan informasi rahasia kepada pihak yang tidak berhak.
Untuk melakukan metode penyerangan ini seseorang terlebih dahulu membuat situs yang mirip
namanya dengan nama server e-Commerce asli. Contoh dari kasus yang pernah terjadi dan menimpa
pada salah satu nasabah bank bca, ketika itu ada seseorang membuat situs palsu yang hampir sama
dengan situs asli dengan nama www.klik_bca.com,www.klikbca.org, www.klik-bca.com,
www.klikbca.co.id, www.clickbca.com, www.clicbca.com, www.clikbca.com. Dengan demikian
ketika salah satu nasabah atau pengguna membuka alamat situs palsu yang sekilas terlihat sama akan
tetap menduga bahwa situs yang dikunjungi adalah situs klikbca yang benar. Tujuan dari metode ini
adalah menjebak nasabah ataupengunjung situs agar memasukkan inforasi yang penting dan rahasia,
seperti data kartu kredit, id dan nomor pin atau password.

8. Website Defacing Seseorang melakukan serangan pada situs asli (misalkan www.upnyk.ac.id)
kemudian mengganti isi halaman pada server tersebut dengan halaman yang telah dimodifikasi.

9. Virus. Virus adalah kode program yang dapat mengikatkan diri pada aplikasi atau file, di mana
program tersebut bisa menyebabkan komputer bekerja di luar kehendak pemakai sehingga file yang
berkestensi terntentu menjaditerinfeksi yangmengakibatkan file menjadi hilang karena disembunyikan
(hide), termodifikasi (encrypt) bahkan terhapus (delete).

10. Trojan Horse. Salah satu metode penyerangan yang sangat ampuh dan sering digunakan dalam
kejahatan-kejahatan di internet. Seseorang memberikan program yang bersifat free atau gratis, yang
memiliki fungsi dan mudah digunakan (user friendly), tetapi di dalam program tersebut terdapat
program lain yang tidak terlihat oleh user yang berfungsi menghapus data. Misalnya program untuk
cracking password, credit-card generator dan lain-lain.

11. Worm. Program yang dapat menduplikasikan dirinya sendiri dengan menggunakan media
komputer yang mengakibatkan kerusakan pada sistem dan memperlambat kinerja komputer dalam
mengaplikasi sebuah program.

Pengendalian akses dapat dicapai dengan tiga langkah, yaitu:

a) Identifikasi pemakai (user identification). Mula-mula pemakai mengidentifikasikan dirinya sendiri

dengan menyediakan sesuatu yang diketahuinya, seperti kata sandi atau password. Identifikasi
tersebut dapat mencakup lokasi pemakai, seperti titik masuk jaringan dan hak akses telepon.

b) Pembuktian keaslian pemakai (user authentication). Setelah melewati identifikasi pertama, pemakai
dapat membuktikan hak akses dengan menyediakan sesuatu yang ia punya, seperti kartu id (smart
card, tokendan identification chip), tanda tangan, suara atau pola ucapan.

c) Otorisasi pemakai (user authorization). Setelah melewati pemeriksaan identifikasi dan pembuktian
keaslian, maka orang tersebut dapat diberi hak wewenang untuk mengakses dan melakukan perubahan
dari suatu file atau data.

Memantau adanya serangan pada sistem. Sistem pemantau (monitoring system) digunakan untuk
mengetahui adanya penyusup yang masuk kedalam sistem (intruder) atau adanya serangan (attack)
dari hacker. Sistem ini biasa disebut “intruder detection system” (IDS). Sistem ini dapat memberitahu
admin melalui e-mail atau melalui mekanisme lain. Terdapat berbagai cara untuk memantau adanya
penyusup. Ada yang bersifat aktif dan pasif. IDS cara yang pasif misalnya dengan melakukan
pemantauan pada logfile.
B. PENGENDALIAN SISTEM INFORMASI LABORATORIUM

Pengendalian (kontrol) adalah mekanisme yang diterapkan baik untuk melindungi laboratorium dari
risiko atau untuk meminimalkan dampak risiko tersebut jika risiko tersebut terjadi.Pengendalian
dibagi menjadi :

1. Pengendalian Tehnis adalah pengendalian yang menjadi satu dalam sistem dan dibuat oleh
penuyusun sistem selama masa siklus penyusunan sistem. Kebanyakaan pengendalian
keamanan dibuat berdasarkan teknologi peranti lunak dank keras.
2. Pengendalian Akses Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-
orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana, jika orang yang
tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi , maka
pengrusakan tidak dapat dilakukan.
3. Pengendalian Kriptografis Data dan informasi yang tersimpan dan ditransmisikan dapat
dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan
kode yang mengunakan proses proses matematika.
4. Pengedalian Fisik, melaui membatasi akses keluar masuk ruangan
5. Pengendalian Formal dan Informal, melalui pelatihan dan edukasi